Salut!

Ich hab seid einiger Zeit das Problem, dass ich ständig falsch verlinkt werde, ob bei google, lycos, Links auf normalen Seiten oder bei der Eingabe einer URL in die Adressenzeile. Ich muss immer erst zurück navigieren und dann nochmal auf den Link klicken, sprich ich werde irgendwie umgeleitet.

Ich hab' leider keine Ahnung was die Ursache ist oder wie ich es beheben kann, deswegen erstmal hier mein "HijackThis" Log:


Logfile of HijackThis v1.99.1
Scan saved at 17:48:12, on 28.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Progs\AntiVir PersonalEdition Classic\sched.exe
C:\Progs\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Progs\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Progs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Progs\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=6070314
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.google.de/hws/sb/dell-row/de/side.html?channel=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w*w.google.de/hws/sb/dell-row/de/side.html?channel=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=6070314
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://127.0.0.1:4664/first_usage&s=bFEbrr5_KCu-6ytGFlnvXaAyna4
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D0761B7-7F11-4702-8FB4-9F0241EF98C2} - C:\WINDOWS\system32\inetresd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Progs\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Progs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174397085937
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Progs\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Progs\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe


Ich hoffe das mir jemand mir bei meinem Problem helfen kann ...

Lass deinen browser damit durchchecken http://bcheck.scanit.be/bcheck/sessi...tests=specific
mit antvir zusammen hat es bei mir 2 trojaner gefunden alles läuft wieder!!!
(Der Check hat den Browser durchsucht und Antvir hat die Trojaner gefunden und gekickt )
Musst den Link aber in dem Browser anklicken mit dem du diese Probleme hast falls du mehrere benutzt Firefox, Opera etc.

Gut, das hab ich soweit probiert, Antivir hat auch Viren gefunden, weswegen ich schätze, dass das soweit gut ging.

Soweit ich das einschätzen kann haben die Fehlverlinkungen auch abgenommen, jetzt hab ich nur noch das Problem, dass ich über googel manchmal durch "adfarm" weitergeleitet werde.
Sprich, ich geb eine Suche ein, klicke auf ein Link, seh' kurz oben in der Adressenzeile eine völlig andere Adresse auftauchen (eben das mit adfarm) und komme dann auf eine Partnerseite. Das nervt!

Hat jemand 'ne Ahnung, wie ich das wegbekomme?

ja ... eh ... kann mir da denn keiner helfen?

Hi, lasse mal die beiden Dateien bei Virustotal checken.

Zitat:

C:\Programme\BAE\BAE.dll

Diese ist normalerweise eine Windowsdatei für IE, es können sich aber auch Schadprogramme dahinter verbergen, die deinen PC fernsteuern wollen.

Zitat:

C:\WINDOWS\system32\inetresd.dll

Diese hier kenne ich nicht

virustotal

Aloha

C:\Programme\BAE\BAE.dll
gehört meines Wissens zu einem URL-Assistenten der Firma Dell und sollte in Ordnung sein, da diese nicht im System 32 oder Windows läuft.
Die andere Datei C:\WINDOWS\system32\inetresd.dll ist mir ebenfalls unbekannt und sollte überprüft werden.
Warum scannst Du Dein System nicht einfach mit einem on-demand scanner (Anleitung bekommst Du hier im Forum) und postest das Ergebnis? Nur so eine Idee....

Ich hab diese Datei jetzt mal mit VirusTotal gescannt, hatte mehrere Hinweise auf Adware und Viren.

Jetzt weiß ich nur nicht, wie ich diese Datei löschen kann, da mir Winrdows den Zugriff darauf verweigert.

Wie krieg ich das Teil nun los?

Danke für die Hilfe!
Warlord

Am besten stellst du das Ergebnis mal hier rein.
Erfahrungsgemäß ist es mit der einen Datei nämlich nicht getan und damit man erraten kann, wo noch mehr stecken könnte, müssten wir wissen was es ist.

Auswerten, warten bis oben rechts "finished" steht, dann den GESAMTEN Text der Seite abkopieren und hier reinposten.


lg myrtille

OK, dann mal hier der Text den mir VirusTotal ausspuckt:

Complete scanning result of "inetresd.dll", received in VirusTotal at 06.18.2007, 16:19:08 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.16.0 06.18.2007 Win-AppCare/Stud.9728
AntiVir 7.4.0.32 06.18.2007 ADSPY/Stud.D
Authentium 4.93.8 06.16.2007 no virus found
Avast 4.7.997.0 06.18.2007 Win32:Trojano-3384
AVG 7.5.0.467 06.17.2007 Adware Generic.WNV
BitDefender 7.2 06.18.2007 Adware.Stud.I
CAT-QuickHeal 9.00 06.18.2007 AdWare.Stud.d (Not a Virus)
ClamAV devel-20070416 06.18.2007 Adware.BHO-15
DrWeb 4.33 06.18.2007 no virus found
eSafe 7.0.15.0 06.17.2007 no virus found
eTrust-Vet 30.7.3726 06.18.2007 no virus found
Ewido 4.0 06.18.2007 Adware.Stud
FileAdvisor 1 06.18.2007 no virus found
Fortinet 2.85.0.0 06.18.2007 no virus found
F-Prot 4.3.2.48 06.15.2007 W32/Adware.IJT
F-Secure 6.70.13030.0 06.18.2007 no virus found
Ikarus T3.1.1.8 06.18.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 06.18.2007 not-a-virus:AdWare.Win32.Stud.d
McAfee 5054 06.15.2007 no virus found
Microsoft 1.2607 06.18.2007 Trojan:Win32/Webprefix
NOD32v2 2336 06.18.2007 Win32/Adware.BHO.AA
Norman 5.80.02 06.18.2007 W32/Stud.Y
Panda 9.0.0.4 06.17.2007 no virus found
Prevx1 V2 06.18.2007 no virus found
Sophos 4.18.0 06.12.2007 MapKon
Sunbelt 2.2.907.0 06.16.2007 no virus found
Symantec 10 06.18.2007 Adware.Webprefix
TheHacker 6.1.6.134 06.18.2007 Adware/Stud.d
VBA32 3.12.0.2 06.15.2007 AdWare.Win32.Stud.d
VirusBuster 4.3.23:9 06.18.2007 Adware.BHO.EC
Webwasher-Gateway 6.0.1 06.18.2007 Ad-Spyware.Stud.D


Aditional Information
File size: 24455 bytes
MD5: 8e66cf17ff6e1573f5425b36c1415029
SHA1: a19e59f8da5c0ca50167dabf6b6c7aafc8f407ef
packers: UPX
packers: UPX
packers: UPX
packers: UPX


----------
Sprich, das wären die Resultate:
Win-AppCare/Stud.9728, ADSPY/Stud.D, Win32:Trojano-3384, Adware Generic.WNV, Adware.Stud.I, AdWare.Stud.d (Not a Virus), Adware.BHO-15, Adware.Stud, W32/Adware.IJT, not-a-virus:AdWare.Win32.Stud.d, not-a-virus:AdWare.Win32.Stud.d, Trojan:Win32/Webprefix, Win32/Adware.BHO.AA, W32/Stud.Y, MapKon, Adware.Webprefix, Adware/Stud.d, AdWare.Win32.Stud.d, Adware.BHO.EC, Ad-Spyware.Stud.D

Scheint mir doch jede Menge!?

Und nun?